C'est une mise à jour bien plus légère que la précédente que Microsoft va mettre à disposition mardi prochain, 10 mai, pour son « Patch Tuesday » du mois. Elle vient tout de même corriger un bug jugé « critique » (le rang le plus élevé sur l'échelle qui détermine la criticité des failles) dans le système d'exploitation Windows Server, ainsi que deux vulnérabilités dans le logiciel de présentation PowerPoint. Après les 64 rustines livrées en avril dernier, il n'est pas surprenant d'en avoir beaucoup moins cette fois-ci. D'ailleurs, on a pu remarquer que l'éditeur allégeait souvent ses mises à jour les mois impairs.

Le premier correctif vient rectifier Windows Server 2003, 2008 et 2008 R2, les trois versions de l'OS serveur que Microsoft supporte encore. La faille existe même dans la nouvelle version, Server 2008 R2 Service Pack 1 (SP1). En revanche, les versions poste de travail de Windows (XP, Vista et 7) ne sont pas affectées.

En l'absence de précisions, il est impossible de dire quels sont les composants serveurs que Microsoft va corriger, indique Andrew Storms, directeur des opérations de sécurité chez nCircle Security, interrogé par nos confrères de Computerworld. « Autant lire dans le marc de café, estime-t-il. Il pourrait s'agir d'un composant Active Directory, ou bien d'un composant DHCP (Dynamic Host Configuration Protocol). » Mais puisqu'il s'agit d'un bug affectant Windows Server, Andrew Storms pense qu'il faudra probablement un jour ou deux de plus aux administrateurs réseaux pour tester la rustine avant de l'installer.

Un nouvel index d'exploitabilité des failles

L'autre bulletin de sécurité concerne donc PowerPoint dans les packs bureautiques Office XP, Office 2003 et 2007. Egalement inclus dans la mise à jour, Office 2004 pour Mac et 2008 pour Mac. La rustine destinée à l'édition PowerPoint d'Office XP sera certainement l'une des dernières : cette suite qui compte maintenant une dizaine d'années ne sera plus couverte par les mises à jour de sécurité après le 12 juillet. Les nouvelles éditions (Office 2010 sur Windows et Office 2011 pour Mac) ne sont pas affectées par le bug.

Andrew Storms parie qu'il s'agit d'une faille sur un format de fichier. « Cela n'est pas surprenant que de plus en plus de bugs PowerPoint apparaissent à un moment où les pirates réorientent leurs attaques de Word et Excel vers le logiciel de présentation ». Microsoft a corrigé trois failles sur PowerPoint le mois dernier et deux en novembre 2010.

L'éditeur de Windows a par ailleurs annoncé qu'il aller inaugurer un nouvel index pour l'exploitation potentielle des failles. L'actuel a été mis en service en octobre 2008. Il établit un classement évaluant la probabilité qu'une faille soit exploitée dans les mois suivants. A partir de la semaine prochaine, l'index distinguera les versions les plus récentes et les plus anciennes de ses logiciels. Pour convaincre de l'utilité de cette nouvelle présentation, Microsoft avance l'argument qu'il sera plus facile aux clients des plateformes les plus récentes de déterminer les risques encourus, compte tenu des fonctionnalités intégrées au sein des nouveaux produits ». Pour Andrew Storms, il est clair que Microsoft veut montrer que ses plus récents logiciels sont aussi les moins « risqués ». Et il voit se profiler des considérations marketing derrière l'argument de l'éditeur.

Dans un billet de blog détaillant ce changement, Maarten Van Horenbeeck, responsable sécurité senior chez Microsoft, avance des statistiques pour appuyer les dires de l'éditeur. Sur les 256 évaluations d'exploitabilité livrées par Microsoft sur les huit derniers mois, 97 étaient moins sérieuses et ne s'appliquait pas aux dernières versions des produits touchés. « A l'inverse, dans sept cas seulement, ce sont les versions les plus récentes des logiciels qui étaient touchées, alors que les plus anciennes ne l'étaient pas ». Cet index est publié séparément des bulletins de sécurité.